ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

Transcript

1 ΕταιρικήΠαρουσίαση ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΔΙΑΔΙΚΑΣΙΕΣ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΑΪΟΣ 2018

2 Τι είναι ο Κανονισμός Προστασίας Προσωπικών Δεδομένων (GDPR) Προσωπικά δεδομένα (πουοδηγούν σε ΤΑΥΤΟΠΟΙΗΣΗ) Ιατρικά Θρησκευτικά Πολιτικά κ.ά. Ευαίσθητα προσωπικά δεδομένα Ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κ.λ.π. Αναγνώριση προσώπου Οικονομική κατάσταση Εκπαίδευση, προϋπηρεσία Ενδιαφέροντα, δραστηριότητες, συνήθειες IP Address, , internet cookies Παραβίαση προσωπικώνδεδομένων Οποιαδήποτε παραβίαση η οποία οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή επιτρέπει αθέμιτη πρόσβαση σε προσωπικά δεδομένα τρίτου. Ακόμη και η απώλεια δυνατότητας πρόσβασης θεωρείται παραβίαση.

3 Παραδείγματα: Ελεύθερη φωτογράφηση Τηλεφωνικές ενημερώσεις / πληροφορίες Μισθοδοσία Χρεώσεις / τιμολογήσεις ΙΒΑΝ Βιομετρικά στοιχεία Ιατρικά στοιχεία

4 Θεμελιώδεις Αρχές του GDPR Αρχή της Νομιμότητας της Επεξεργασίας Αρχή του Περιορισμού του Σκοπού Αρχή της Ελαχιστοποίησης των Δεδομένων Αρχή της Ακρίβειας των Δεδομένων Αρχή του Περιορισμού της Περιόδου Τήρησης των Δεδομένων Αρχή της Ακεραιότητας & της Εμπιστευτικότητας των Δεδομένων Αρχή της Λογοδοσίας του ΥπεύθυνουΕπεξεργασίας

5 Θεμελιώδεις Αρχές του GDPR - Επεξήγηση Αρχή της Νομιμότητας τηςεπεξεργασίας Η ρητή συγκατάθεση του υποκειμένου των δεδομένων για την επεξεργασίατους. Απαιτείται έγγραφη και ενυπόγραφη συγκατάθεση των πελατών μας για τη συλλογή και περαιτέρω επεξεργασία των δεδομένων τους.

6 Θεμελιώδεις Αρχές του GDPR -Επεξήγηση Αρχή του Περιορισμού τουσκοπού Τα δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με τους σκοπούς αυτούς. Απαιτείται η επιχείρηση να συλλέγει μόνο τα δεδομένα που είναι απαραίτητα για το σκοπό για τον οποίο χρειάζονται.

7 Θεμελιώδεις Αρχές του GDPR -Επεξήγηση Αρχή της Ελαχιστοποίησης τωνδεδομένων Τα δεδομένα που συλλέγονται πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Ζητάμε και συλλέγουμε μόνο όσα δεδομένα μας χρειάζονταιγια το σκοπό για τον οποίο τα προορίζουμε.

8 Θεμελιώδεις Αρχές του GDPR -Επεξήγηση Αρχή της Ακρίβειας τωνδεδομένων Τα δεδομένα που συλλέγονται πρέπει να είναι ακριβή και, όταν είναι αναγκαίο, ναεπικαιροποιούνται. Πρέπει να λαμβάνουμε όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων που είναι ανακριβή σε σχέση μετο σκοπό επεξεργασίας τους.

9 Θεμελιώδεις Αρχές του GDPR -Επεξήγηση Αρχή του Περιορισμού της Περιόδου Τήρησης των Δεδομένων Τα δεδομένα που συλλέγονται πρέπει να είναι ή/και να διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας. Δεν συνεχίζουμε να τηρούμε δεδομένα όταν έχει παρέλθει το απαιτούμενο διάστημα για το σκοπό της επεξεργασίας τους. ΕΞΑΙΡΕΣΗ: - Αρχειοθέτηση για δημόσιο συμφέρον Επιστημονική ή ΙστορικήΈρευνα Νομοθεσία

10 Θεμελιώδεις Αρχές του GDPR -Επεξήγηση Αρχή της Ακεραιότητας & Εμπιστευτικότηταςτων Δεδομένων Τα δεδομένα υποβάλλονται σε επεξεργασία με τρόπο που εγγυάται την ασφάλειάτους. Λαμβάνουμε όλα τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων από μη εξουσιοδοτημένο χρήστη, από παράνομη επεξεργασία, τυχαία απώλεια, καταστροφή ή φθορά κλπ.

11 Θεμελιώδεις Αρχές του GDPR -Επεξήγηση Αρχή της Λογοδοσίας του ΥπεύθυνουΕπεξεργασίας Ο Υπεύθυνος Επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με τις επιταγές του Κανονισμού. Δεν αρκεί να είμαστε σύννομοι, πρέπει να μπορούμε και να το αποδείξουμε.

12 Ποιες είναι οι πολιτικές; Ασφάλεια Επικοινωνιών και Δικτύων (Communications and Network Security) Πρόσβαση Χρηστών (User Access) Αποδεκτή Χρήση Πληροφοριακών Συστημάτων (Acceptable Use) Χρήση Κρυπτογραφίας (Encryption) Παρακολούθηση Ασφάλειας Συστημάτων (Security Monitoring) Τεχνικοί Έλεγχοι Ασφάλειας (Security Testing)

13 Ποιες είναι οι πολιτικές; Διαβάθμιση & Προστασία Πληροφοριακών Πόρων (Asset Classification & Protection) Διαχείριση Ανθρώπινου Δυναμικού (Personnel Security) Ασφάλεια Διαδικτύου και Ηλεκτρονικής Αλληλογραφίας (Internet & security) Προστασία από Κακόβουλο Λογισμικό Πρόσβαση Συνεργατών (Third Party Connectivity), Φορητά Υπολογιστικά Συστήματα & Τηλε-εργασία (Mobile Computing and Teleworking)

14 Ποιες είναι οι διαδικασίες; Λεπτομερή βήματα για χρήστες, διαχειριστές, εξωτερικοί συνεργάτες κ.λ.π. σε θέματα σχετικά με την ασφάλεια. Μία διαδικασία πρέπει να περιλαμβάνει: Εύρος Εφαρμογής και Στόχους Γεγονότα που εκκινούν τη διαδικασία (trigger events) Συσχέτιση με Πολιτικές Ασφάλειας Αλληλεπίδραση με άλλες διαδικασίες ή πολιτικές Ρόλοι και Αρμοδιότητες εμπλεκομένων Πόροι που απαιτούνται Αναλυτική Περιγραφή Διαδικασίας (διαγράμματα ροής για περίπλοκα θέματα) Σχετικά έντυπα και φόρμες (για την εφαρμογή της διαδικασίας) Δείκτες μέτρησης αποτελεσματικότητας της διαδικασίας Πρότυπα & Οδηγίες ΣΔΑΠ που σχετίζονται με τη συγκεκριμένη διαδικασία

15 Ασφάλεια Πληροφοριών & Είδη Παραβιάσεων «Εμπιστευτικότητας (Confidentiality)» Μη εξουσιοδοτημένη πρόσβαση ή τυχαία αποκάλυψη προσωπικών δεδομένων. «Διαθεσιμότητας (Availability)» Τυχαία ή μη εξουσιοδοτημένη πρόσβαση που οδηγεί σε απώλεια ή καταστροφή προσωπικώνδεδομένων. «Ακεραιότητας (Integrity)» Μη εξουσιοδοτημένη ή τυχαία αλλαγή των δεδομένων προσωπικού χαρακτήρα.

16 Τα 6 W s διαδικασιών Παράδειγμα: Παρακολούθηση Ασφάλειας Συστήματος WHO Ο διαχειριστής του συστήματος WHAT Εξετάζει περιστατικά ασφαλείας για το σύστημα που επιβλέπει HOW Εξετάζοντας κάθε περιστατικό ξεχωριστά WHEN Καθημερινά WHERE Και συμπληρώνει τα σχετικά έγγραφα WHY Για μελλοντική χρήση (και για έλεγχο συμμόρφωσης)

17 Βασικές Αρχές Ασφάλειας Πληροφοριών 1 Η ανάγκη για την Ασφάλεια Πληροφοριών 2 Βασικές Αρχές Ασφάλειας Πληροφοριών 3 Ασφάλεια Πληροφοριών & GDPR 4 Αξιολόγηση Κινδύνων Ασφάλειας Πληροφοριών (Risk Assessment) 5 Aπαιτούμενα Οργανωτικά Μέτρα Ασφάλειας 6 Απαιτούμενα Τεχνικά Μέτρα Ασφάλειας 7 Συμμόρφωση με πρότυπα και βέλτιστες πρακτικές ασφάλειας 8 Ανάπτυξη Πλάνου Συνέχισης Επιχειρηματικών Λειτουργιών (BCP/DRP)

18

19 Συνοπτικός Οδηγός Ασφάλειας & GDPR (1/2)

20 Συνοπτικός Οδηγός Ασφάλειας & GDPR (2/2)

21 Risk Assessment & DPO Γιατί πρέπει να γνωρίζω το Risk Assessment; Eίναι ο ακρογωνιαίος λίθος της Ασφάλειας Πληροφοριών H επιλογή των Τεχνικών & Οργανωτικών Μέτρων πρέπει να βασίζεται στα αποτελέσματά του Ο DPO πρέπει να μπορεί να ερμηνεύει και να εκφέρει άποψη στα αποτελέσματά του Μπορεί να απαιτηθεί η ενεργή συμμετοχή του DPO κατά τη διεξαγωγή του Είναι σημαντικό εργαλείο για τον έλεγχο συμμόρφωσης του οργανισμού Ποιος εκτελεί το Risk Assessment; Συνήθως η Διεύθυνση Ασφάλειας Πληροφοριών (CISO, ISO ) Σε μερικές περιπτώσεις Διευθύνσεις Συμμόρφωσης ή/και Διαχείρισης Κινδύνου Ποια είναι η σχέση του Risk Assessment με το DPI; Το DPIAείναι ουσιαστικά μία μεθοδολογία Risk Assessment (υποσύνολο) με κοινές αρχές και αρκετούς στόχους Πολλές από τις δράσεις που απαιτούνται για το DPIA (π.χ. Καταγραφή Πόρων & Information Flow) εκπονούνται ήδη για το Risk Assessment Πολλοί οργανισμοί ίσως αποφασίσουν να ενσωματώσουν το DPIA στο ευρύτερο Εταιρικό Πλαίσιο Διαχείρισης Κινδύνων (Enterprise Risk Assessment Framework)

22 Οργανωτικά Μέτρα Ασφάλειας Οργανωτική Δομή Ασφάλειας Πληροφοριών Βέλτιστες Πρακτικές Ανάπτυξης & Διαχείρισης Εγγράφων Τεκμηρίωση ΣΔΑΠ (Εγχειρίδιο Ασφάλειας) Πρόγραμμα Εκπαίδευσης & Επιμόρφωσης στην Ασφάλεια Πληροφοριών Πρόγραμμα Ελέγχου Συμμόρφωσης

23 Αρχεία Κατά τη διάρκεια δημιουργίας και ανάπτυξης μιας διαδικασίας, ενός τεχνικού προτύπου και άλλων διεργασιών ελέγχου, πρέπει να δημιουργείται μια λίστα από απαιτούμενα αρχεία που αποδεικνύουν τη συμμόρφωση και να καθορίζεται ο τρόπος διαχείρισής τους. Ειδικά κατά τη σύνταξη διαδικασιών, πρέπει να δημιουργούνται φόρμες και άλλα μέσα που έχουν επιλεγεί για τη συλλογή και τη διατήρηση αρχείων.

24 Πλάνο Συνέχισης Επιχειρηματικών Λειτουργιών (BCP/DRP) Βασικές Αρχές Συνέχισης Επιχειρηματικών Λειτουργιών Διαδικασία Συνέχισης Επιχειρηματικών Λειτουργιών

25 Τα Βήματα της Διαδικασίας Επιχειρησιακής Συνέχειας 7. Δοκιμή & Συντήρηση Σχεδίου 1. Σχεδιασμός & Καθορισμός Πεδίου 2. Καταγραφή Περιβάλλοντος 6. Εκπαίδευση & Επιμόρφωση 3. Ανάλυση Επιχειρηματικών Επιπτώσεων 5. Υλοποίηση BC/DR 4. Στρατηγική Ανάκαμψης & Οργάνωση

26 Ερωτήσεις;;; Ας ξεκινήσουμε!

27 Σας ευχαριστώ πολύ.